CONTACT

NTIC – Lettre d’actualité numéro 13

08 mars 2018 | Derriennic Associés|

DROIT DU NUMERIQUE / E-COMMERCE

Actualités Blockchain – La Commission européenne et l’Autorité des Marchés Financiers se mettent en ordre de bataille

Les cryptomonnaies (gérées par le grand livre de comptes « blockchain ») et les ICO font l’objet de deux actualités récentes.

Pour rappel, les cryptomonnaies ou cryptodevises, sont des monnaies virtuelles totalement dématérialisées, et alternatives en ce qu’elles n’ont pas de cours légal. Les ICO, c’est-à-dire Initial Coin Offerings, sont quant à elles des formes de financement à mi-chemin entre la levée de fonds et le financement participatif par la prévente d’une nouvelle cryptomonnaie. Pour information, voir la levée de fonds réalisée par prévente sur futur ICO par la société Telegram (éditrice de l’application de chat instantané du même nom) et ayant réuni pour l’instant plus de 850 millions de dollars.

Dans un souci de recensement, la Commission européenne a donc lancé ce 1er février 2018 un observatoire-forum des blockchain de l’Union européenne visant à favoriser la création d’un marché unique numérique et la centralisation des initiatives éparses des blockchain et de création de cryptomonnaies. Les informations collectées et analysées par le biais de cet observatoire étayeront également les travaux de la Commission sur les technologies financières (FinTech). Le plan d’action pour les technologies actuellement en cours d’élaboration par la Commission verra le jour au printemps et sera à consulter attentivement.

Parallèlement, l’Autorité des Marchés Financiers vient de publier la synthèse des réponses apportées à sa consultation publique sur les ICO, ce 22 février, préconisant notamment :

  • la mise en place d’une législation nouvelle, adaptée aux ICO ;
  • l’élaboration d’un document d’information nécessaire pour informer les acheteurs de tokens (jetons ayant une valeur dans la cryptomonnaie en question) notamment sur les droits conférés par les tokens, l’identification de la personne morale responsable de l’offre, leurs dirigeants fondateurs et leurs compétences ;
  • et l’instauration de règles permettant d’assurer le séquestre des fonds levés et la mise en place d’un dispositif de prévention du blanchiment et du financement du terrorisme.

Concernant le travail de définition d’une législation spécifique aux ICO prévoyant les garanties appropriées, notamment en matière d’information, qui seront nécessaires pour ce nouveau type d’offres, le collège de l’AMF et les autres autorités compétentes poursuivent sur la lancée de la consultation publique et ont démarré le travail de préparation d’un projet de loi. A suivre.

Loi du 26 février 2018 : création de nouveaux acteurs et de nouvelles obligations en matière de sécurité informatique

Réf. : loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité

La loi du 26 février 2018 vient transposer plusieurs directives européennes et notamment la directive 2016/1148 Network Information Security dite « directive NIS ».

Les obligations sur les entreprises se retrouvent accrues en matière de sécurité informatique. La sécurisation des systèmes d’information s’applique à deux nouveaux types d’acteurs : les opérateurs de services essentiels et les fournisseurs de service numérique.

Les opérateurs de services essentiels (OSE) sont des opérateurs publics ou privés offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaire à la fourniture desdits services.

Selon la directive, parmi les OSE, il y a les entreprises opérant dans les domaines de l’énergie, des transports, de la banque, des infrastructures de marchés financiers, de la santé, de la fourniture et distribution d’eau potable et les fournisseurs d’infrastructures numériques.

Ces opérateurs seront désignés par le Premier ministre par décret au plus tard le 9 novembre 2018. La liste de ces opérateurs sera renouvelée au moins tous les 2 ans.

Les fournisseurs de service numérique (FSN) sont les personnes morales fournissant l’un des services suivants : place de marché en ligne (ex : eBay, AirBnB) ; moteur de recherche en ligne (ex : Google) et service d’informatique en nuage (Cloud computing).

Les obligations de ces deux types d’acteurs :

Le Premier ministre devra fixer des règles nécessaires à la protection des réseaux afin notamment de garantir un niveau de sécurité adapté au risque.

En cas d’incident – comme une attaque informatique – les OSE et FSN auront l’obligation de prévenir sans délai l’ANSSI (Agence nationale de la sécurité des systèmes d’information)

Le Premier ministre peut soumettre ces opérateurs à des contrôles destinés à vérifier le respect de leurs obligations et le niveau de sécurité des réseaux. Les contrôles seront effectués par l’ANSSI, aux frais des opérateurs.

Les sanctions, en cas de non-respect de ces obligations, sont les suivants :

  • manquements aux obligations de sécurisation (OSE : 100 000 euros ; FSN : 75 000 euros) ;
  • non déclaration d’incident (OSE : 75 000 euros ; FSN : 50 000 euros) ;
  • obstacle aux opérations de contrôle (OSE : 125 000 euros ; FSN : 100 000 euros).

Rapport de la mission sur l’état des lieux de la blockchain présenté au CSPLA le 13 février 2018

En juillet 2016, le Ministère de la Culture et de la Communication a lancé une mission concernant la technologie « Blockchain » et ses effets / impacts sur la propriété littéraire et artistique.

Un Rapport de la mission sur l’état des lieux de la blockchain  a été présenté au Conseil supérieur de la propriété littéraire et artistique (CSPLA) le 13 février 2018

Pour rappel, la Blockchain est une technologie de stockage et de transmission d’informations, transparente, sécurisée, et fonctionnant sans organe central de contrôle. Cette technologie constitue une base de données sans intermédiaire, avec comme principaux atouts la sécurité, la traçabilité et la transparence des échanges effectués entre tous les utilisateurs.

Il existe de nombreux exemples de Blockchains en pratique : le premier cas de Blockchain fut la crypto-monnaie « Bitcoin » créée en 2008. Plus récemment, en France, la Caisse des dépôts et la Banque de France, pour l’émission d’identifiants de créanciers SEPA (Single Euro Payments Area), ont réuni divers acteurs autour d’applications pilotes visant à appréhender le fonctionnement de la Blockchain.

Enfin, le dernier grand usage de la Blockchain provient de l’utilisation des « smart contracts » qui automatisent l’exécution de contrats. Dans le cas des contrats d’assurance avec condition, la Blockchain peut être utilisée : ainsi, lorsque qu’une catastrophe naturelle survient et que cette catastrophe naturelle était une condition au contrat d’assurance, le versement d’une prime d’assurance pourra être automatisé via la technologie Blockchain. Concernant la PLA, l’objectif est d’automatiser la collecte et le reversement des droits d’auteurs et des droits voisins via cette technologie.

La Blockchain a de réels avantages, notamment en ce qui concerne l’enregistrement de transactions et la preuve d’authenticité et ce, quel que soit le secteur en cause (finance, assurance, monde culturel) :

  • un gain de temps ;
  • une automatisation des processus ;
  • une réduction des coûts, grâce à l’accélération et à la réduction des moyens techniques et humains nécessaires ;
  • une meilleure sécurité ;
  • une plus grande transparence.

La Blockchain a de réels impacts tant sur les puissances publiques que sur les personnes privées : l’Etat doit non seulement jouer un rôle de régulateur, mais doit également être un acteur à part entière de la Blockchain afin de bénéficier de tous ses avantages.

Précisions apportées par la CJUE sur la notion de compte Facebook privé ou professionnel et l’application de la règle du « for du consommateur » dans le cadre d’une action collective

Arrêt 7/2018 de la Cour de Justice de l’Union Européenne du 25 janvier 2018

Dans l’affaire opposant Max Schrems à Facebook, la Cour de justice de l’Union européenne a rendu un arrêt le 25 janvier 2018 confirmant la possibilité d’engager une action individuelle contre Facebook Irlande en Autriche mais infirmant la possibilité de bénéficier du « for du consommateur » aux fins d’une action collective.

Pour rappel M. Schrems, résident Autrichien, a intenté une action à l’encontre de Facebook Irlande pour violation de plusieurs dispositions en matière de protection des données personnelles en rapport avec son compte Facebook privé et celui de 7 autres utilisateurs résidents en Autriche, en Allemagne et en Inde.

Il demande l’invalidation de certaines clauses contractuelles et la condamnation de Facebook d’une part à cesser d’utiliser les données litigieuses pour ses propres fins ou celles de tiers et d’autre part à payer des dommages et intérêts.

Mr Schrems a porté cette action devant les juridictions Autrichiennes.

En défense Facebook a notamment invoqué

  • l’absence de compétence internationale de la juridiction autrichienne dans le mesure où M. Schrems ne pouvait invoquer les dispositions permettant à un consommateur d’attraire un partenaire contractuel étranger devant les tribunaux de son domicile (for du consommateur), puisque celui-ci utilisait Facebook a titre professionnel et ne pouvait donc être considéré comme un consommateur ;
  • en ce qui concerne l’action collective, le for du consommateur n’est pas applicable aux tiers qui ont cédé leurs droits à M. Schrems car non transférable.

La Cour suprême d’Autriche saisie de l’affaire a posé à la Cour de justice les deux questions préjudicielles suivantes :

  • Est-ce que l’usage d’un compte privé pour faire valoir ses droits, publier des livres, donner des conférences, exploiter des sites internet, collecter des dons et se faire céder des droits de consommateurs en contrepartie de l’assurance de leur remettre la réparation obtenue fait perdre la qualité de consommateur?
  • Est-ce qu’un consommateur qui se fait céder les droits d’autres consommateurs afin de les faire valoir collectivement, peut bénéficier du for du consommateur devant le tribunal de son propre domicile alors même que les autres consommateurs ont leur domicile dans d’autres Etats ?

Dans son arrêt du 25 janvier, la Cour répond que l’évolution de l’utilisation d’un compte Facebook privé telle que réalisée par M. Schrems (publications de livres, conférences…), ne fait pas perdre la qualité de consommateur. Cet usage ne permet pas de conclure à un usage essentiellement professionnel du service.

En revanche, pour la seconde question, elle rappelle que le for du consommateur en tant que dérogation à la règle générale de compétence est d’interprétation stricte. De plus, elle rappelle que cette règle a été créée pour protéger le consommateur en tant que partie faible au contrat en cause. Celui-ci n’est donc protégé que dans la mesure où il est personnellement demandeur ou défendeur dans une procédure.

On comprend donc que le fait pour M. Schrems d’être cessionnaire de droits d’autre consommateurs tiers au contrat ne permet pas de leur faire bénéficier de son « for du consommateur » donc de la compétence des juridictions autrichiennes. (« La cession de créance n’a pas d’incidence sur la détermination de la juridiction compétente »).

CONTRATS INFORMATIQUES

Nullité d’un contrat informatique pour réticence dolosive du prestataire

Tribunal de Commerce de Paris, 1ère chambre, Jugement du 6 février 2018

La décision du prestataire de ne pas informer son client avant la signature du contrat, alors qu’il connaissait la nécessité de la sortie future du cadre forfaitaire contractuel, ne relève pas seulement d’un manquement à l’obligation de conseil et d’alerte du prestataire informatique vis-à-vis de son client mais est constitutif de réticence dolosive qui conduit le Tribunal à prononcer l’annulation du contrat.

Une société lance une consultation sur la base d’un cahier des charges en 2005 pour la réalisation d’un nouveau système informatique. Le projet est lancé début 2007 et le contrat prévoyant la mise en œuvre de la solution au forfait est conclu un an plus tard, pour un budget total d’environ 2M€.

La mise en œuvre du projet connait des difficultés, le prestataire informant son client 6 mois après la signature qu’il ne peut poursuivre le projet aux mêmes conditions financières.

Estimant que l’échec du projet était due au prestataire et lui avait causé un important préjudice, le client assigne son prestataire devant le TC en 2009. Le prestataire assigne en intervention forcée la société assistante à maitrise d’ouvrage. Une expertise a lieu entre 2011 et 2014.

Le client considère que le prestataire a commis des manœuvres dolosives telles que sans ces manœuvres, il n’aurait pas contracté, et demande en conséquence l’annulation du contrat pour dol et condamnation du prestataire à payer, sur le fondement de l’article 1382, des dommages et intérêts.

Subsidiairement il demande de constater la résiliation de plein droit avec effet rétroactif (résolution) aux torts exclusifs du prestataires qui a commis des manquements graves caractérisant une faute lourde équipollente au dol, aucune clause limitative de responsabilité ne pouvant être appliquée

Les montants réclamés comprennent le remboursement, le coût de l’arrêt du projet, l’indemnisation du gain manqué et l’atteinte à l’image de marque et à la réputation, pour un total d’environ 11M€.

Selon le client, le prestataire a dissimulé le nombre de jours prévus pour la réalisation du projet et le dépassement budgétaire ainsi que le fait que sa solution n’était pas adaptée à ses besoins; il est pleinement responsable de l’échec du projet en raison de la violation de l’obligation de résultat contractuelle.

Il aurait occulté la consommation quasi-intégrale du budget à la veille de la signature du contrat puis remis en cause le caractère forfaitaire du prix et exigé une facture en régie pour couvrir la dérive du projet. La cause du contrat résidait dans l’obligation de fournir l’intégralité du système dans le cadre du montant convenu, or le prestataire savait le projet irréaliste et impossible dès réception du cahier des charges. Le prestataire aurait donc refusé délibérément d’informer le client de la situation dans le but d’obtenir la signature du contrat.

Le prestataire considère lui la rupture, qui ne respecte pas les dispositions contractuelles, comme abusive, et demande le paiement des factures et réparation au titre du temps passé et perdu, du manque à gagner et de son préjudice d’image pour environ 6M€. En tout état de cause, la clause contractuelle limitative de responsabilité serait applicable.

Pour le prestataire, le client a failli à plusieurs de ses obligations dont certaines sont essentielles et conditionnent le forfait, telles que la modification incessante du périmètre fonctionnel. Le client a refusé de prendre en charge une quelconque part du dépassement budgétaire pour sauver le projet. Il y aurait absence de dol, le client ayant, avant la signature du contrat, les moyens de connaitre les difficultés de mise en œuvre et les risques. Il n’avait en outre pas obligation de communiquer les temps passés dans le cadre d’un forfait.

Le Tribunal va rappeler la définition de la réticence dolosive « silence d’une partie dissimulant à son cocontractant, avec pour objectif de provoquer une erreur de nature à vicier son consentement, un fait qui, s’il avait été connu de lui, l’aurait empêché de contracter » et va retenir qu’en l’espèce, le prestataire avait consommé la quasi-intégralité du budget le jour de la signature du contrat. La décision prise de ne pas informer le client, alors qu’il connaissait la nécessité de la sortie future du cadre forfaitaire contractuel, ne relève pas seulement d’un manquement à l’obligation de conseil et d’alerte du prestataire informatique vis-à-vis de son client mais est constitutif de réticence dolosive.

Le Tribunal prononce l’annulation du contrat aux torts du prestataire ce qui entraine son anéantissement rétroactif et la remise des parties dans l’état où elles se trouvaient antérieurement. Le prestataire est donc débouté de sa demande de paiement des factures et condamné à rembourser les montants versés (1,65M€).

Sur les dommages et intérêts, le Tribunal rejette l’argument du client selon lequel le prestataire est irrecevable à se prévaloir de griefs à son encontre car non notifiés dans les formes du contrat : le contrat étant annulé, aucune clause ne survit. Le Tribunal écarte en conséquence également la clause limitative de responsabilité et considère que les dommages et intérêts ont pour fondement la responsabilité délictuelle.

Le Tribunal retient une part de responsabilité du client dans l’échec du projet définie par le rapport d’expertise, soit 25%, 75% étant imputables au prestataire. La responsabilité de l’AMOA est elle écartée.

Du préjudice du client retenu (2,1M€) est déduite la somme remboursée.

Le préjudice du prestataire est évalué à environ 1M€. Après application des pourcentages de responsabilité, le tribunal procède par compensation et condamne donc le prestataire à verser 133K€ au client, en sus du remboursement et de sommes dues en application de l’article 700.

DONNEES A CARACTERE PERSONNEL

Une condamnation de plus pour FACEBOOK…

Jugement du Tribunal de 1ère instance de Bruxelles du 16 février 2018

FACEBOOK s’est à nouveau vue infliger une lourde sanction par une juridiction locale pour violation de la législation relative à la protection des données à caractère personnel.

Le litige oppose la Commission belge pour la protection de la vie privée (CPVP), à FACEBOOK.

Le principal grief : le traçage d’internautes belges non membres du réseau social (« utilisateurs passifs ») par l’emploi de modules sociaux (bouton « j’aime » ou « partager ») sur des sites tiers.

Par une ordonnance de référé du 9 novembre 2015, le Tribunal avait interdit à FACEBOOK de conserver les données à caractère personnel de ces « utilisateurs passifs »), sous astreinte de 250.000 euros par jour de retard, 48 heures après la diffusion du communiqué de cette décision.

La décision au fond vient d’être rendue.

Dans leur jugement du 16 février dernier, les Juges Bruxellois ont confirmé l’application de la loi locale belge et la compétence des tribunaux belges (et non celle irlandaise) en se fondant sur l’arrêt de la CJUE « Google/Costeja » du 13 mai 2014 retenant l’existence d’un établissement local en Belgique pour les activités de lobby et marketing participant aux activités de Facebook.

Le Tribunal belge a également retenu que FACEBOOK n’informe pas suffisamment les « utilisateurs passifs » des données collectées les concernant (leur nature, leur usage, leur conservation) et n’a pas obtenu un accord « valable » des personnes concernées pour un tel traitement de données.

FACEBOOK a ainsi été condamné (i) à cesser de « pister » de la sorte les internautes belges et à détruire toutes les données obtenues ainsi illégalement ; (ii) à publier l’intégralité du jugement (de plus de 80 pages…) sur son site internet et trois journaux ce, sous peine d’astreintes de 250.000 euros par jour de retard, avec un maximum de 100 millions d’euros.

FACEBOOK a décidé de faire appel de ce sévère jugement.

A suivre…

L’adoption par l’Assemblée nationale du projet de loi relatif à la protection des données personnelles

Le mardi 13 février 2018, l’Assemblée nationale a adopté, en première lecture et à une large majorité, le projet de loi sur la protection des données personnelles, un texte ayant vocation à adapter le droit interne au RGPD et à transposer la directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales.

Le projet de loi voté par l’Assemblée nationale se compose d’un titre Ier relatif aux dispositions communes au RGPD et à la directive (UE) 2016/680 (qui doit être transposées d’ici le 6 mai 2018), un titre II qui rassemble les différentes marges de manœuvres permises par le règlement, un titre III portant transposition de la directive, un titre IV permettant une habilitation pour procéder notamment aux mesures de coordination dans la loi du 6 janvier 1978, et enfin un titre V contenant des dispositions diverses et finales. Le projet de loi est prévu pour entrer en vigueur le 25 mai 2018.

Conformément au RGPD, ce projet de loi, en son article 9, supprime le régime de déclaration préalable.

Cet article renvoie à un décret en Conseil d’Etat pour déterminer les catégories de responsables du traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre, lorsqu’ils portent sur des données comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR).

L’article 10 établit le principe de responsabilité du sous-traitant.

Lors des rares cas où l’autorisation préalable de la CNIL est nécessaires à la mise en œuvre du traitement, celle-ci sera réputée accordée à l’issue du délai de réponse de la CNIL, qui est de deux mois prolongeable deux mois par décision motivée de son président ou lorsque l’Institut national des données de santé est saisi (article 13 du projet de loi).

L’article 14 A institut 15 ans comme âge légal minimum pour consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information.

Si le mineur est âgé de moins de 15 ans, le traitement n’est licite que si son consentement est donné conjointement avec celui du titulaire de la responsabilité parentale. De plus, lorsque des données sont collectées auprès d’un mineur de moins de 15 ans, le responsable du traitement transmet au mineur les informations légales « dans un langage clair et facilement accessible ».

Pour rappel, le RGPD avait imposé un âge légal entre 13 et 16 ans, avec 16 ans comme valeur par défaut.

Nous restons dans l’attente du vote de cette loi par le Sénat, le texte ayant été transmis, le 14 février dernier, au palais du Luxembourg.